19. gada 2019. jÅ«lijÄ Capital One saÅÄma ziÅojumu, no kura baidÄs katrs mÅ«sdienu uzÅÄmums ā noticis datu pÄrkÄpums. Tas skÄra vairÄk nekÄ 106 miljonus cilvÄku. 140 000 ASV sociÄlÄs apdroÅ”inÄÅ”anas numuru, viens miljons KanÄdas sociÄlÄs apdroÅ”inÄÅ”anas numuru. 80 000 bankas kontu. NepatÄ«kami, vai jÅ«s nepiekrÄ«tat?
DiemžÄl uzlauÅ”ana nenotika 19. jÅ«lijÄ. KÄ izrÄdÄs, Peidža Tompsone, a.k.a. NepastÄvÄ«gs, izdarÄ«ja to laikÄ no 22. gada 23. marta lÄ«dz 2019. martam. Tas ir gandrÄ«z pirms Äetriem mÄneÅ”iem. Faktiski tikai ar ÄrÄjo konsultantu palÄ«dzÄ«bu Capital One varÄja atklÄt, ka kaut kas ir noticis.
BijuÅ”ais Amazon darbinieks tika arestÄts, un viÅam draud 250 XNUMX USD naudas sods un piecu gadu cietumsods... bet joprojÄm ir palicis daudz negatÄ«visma. KÄpÄc? TÄ kÄ daudzi uzÅÄmumi, kas cietuÅ”i no uzlauÅ”anas, cenÅ”as novilkt plecus no atbildÄ«bas par savas infrastruktÅ«ras un lietojumprogrammu stiprinÄÅ”anu, pieaugot kibernoziedzÄ«bai.
JebkurÄ gadÄ«jumÄ jÅ«s varat viegli googlÄt Å”o stÄstu. MÄs neiedziļinÄsimies drÄmÄ, bet runÄsim par to tehnisks lietas puse.
PirmkÄrt, kas notika?
Capital One darbojÄs aptuveni 700 S3 kausu, kurus Peidža Tompsone nokopÄja un izsÅ«ka.
OtrkÄrt, vai Å”is ir vÄl viens nepareizi konfigurÄtas S3 segmenta politikas gadÄ«jums?
NÄ, Å”oreiz ne. Å eit viÅa ieguva piekļuvi serverim ar nepareizi konfigurÄtu ugunsmÅ«ri un no turienes veica visu darbÄ«bu.
Pagaidiet, kÄ tas ir iespÄjams?
Nu, sÄksim ar pieteikÅ”anos serverÄ«, lai gan mums nav daudz detaļu. Mums tikai teica, ka tas notika, izmantojot "nepareizi konfigurÄtu ugunsmÅ«ri". TÄtad, kaut kas tik vienkÄrÅ”s kÄ nepareizi droŔības grupas iestatÄ«jumi vai tÄ«mekļa lietojumprogrammas ugunsmÅ«ra (Imperva) vai tÄ«kla ugunsmÅ«ra (iptables, ufw, shorewall utt.) konfigurÄcija. Capital One tikai atzina savu vainu un paziÅoja, ka ir aizvÄrusi caurumu.
Stouns sacÄ«ja, ka Capital One sÄkotnÄji nepamanÄ«ja ugunsmÅ«ra ievainojamÄ«bu, taÄu rÄ«kojÄs Ätri, tiklÄ«dz par to uzzinÄja. To noteikti veicinÄja fakts, ka hakeris, iespÄjams, atstÄja atslÄgu identificÄjoÅ”o informÄciju publiskajÄ telpÄ, sacÄ«ja Stouns.
Ja jums rodas jautÄjums, kÄpÄc mÄs neiedziļinÄmies Å”ajÄ daļÄ, lÅ«dzu, saprotiet, ka ierobežotÄs informÄcijas dÄļ mÄs varam tikai spekulÄt. Tam nav jÄgas, Åemot vÄrÄ, ka uzlauÅ”ana bija atkarÄ«ga no Capital One atstÄtÄs bedres. Un, ja vien viÅi mums nepateiks vairÄk, mÄs tikai uzskaitÄ«sim visus iespÄjamos veidus, kÄ Capital One atstÄja savu serveri atvÄrtu, kÄ arÄ« visus iespÄjamos veidus, kÄ kÄds varÄtu izmantot kÄdu no Ŕīm dažÄdajÄm iespÄjÄm. Å Ä«s nepilnÄ«bas un paÅÄmieni var bÅ«t no mežonÄ«gi muļķīgiem pÄrkÄpumiem lÄ«dz neticami sarežģītiem modeļiem. Å emot vÄrÄ daudzÄs iespÄjas, tÄ kļūs par garu sÄgu bez Ä«stiem secinÄjumiem. TÄpÄc koncentrÄsimies uz tÄs daļas analÄ«zi, kurÄ mums ir fakti.
TÄtad pirmais ir: ziniet, ko pieļauj jÅ«su ugunsmÅ«ri.
Izveidojiet politiku vai atbilstoÅ”u procesu, lai nodroÅ”inÄtu, ka tiek atvÄrts TIKAI tas, kas ir jÄatver. Ja izmantojat AWS resursus, piemÄram, droŔības grupas vai tÄ«kla ACL, acÄ«mredzot audita kontrolsaraksts var bÅ«t garÅ”... taÄu tÄpat kÄ daudzi resursi tiek izveidoti automÄtiski (t.i., CloudFormation), ir iespÄjams arÄ« automatizÄt to auditÄÅ”anu. NeatkarÄ«gi no tÄ, vai tas ir paÅ”taisÄ«ts skripts, kas skenÄ jaunus objektus, lai atrastu trÅ«kumus, vai kaut kas lÄ«dzÄ«gs droŔības auditam CI/CD procesÄ... ir daudz vienkÄrÅ”u iespÄju, kÄ no tÄ izvairÄ«ties.
StÄsta "smieklÄ«gÄ" daļa ir tÄda, ka, ja Capital One vispirms bÅ«tu aizbÄzis caurumu... nekas nebÅ«tu noticis. Un tÄ, atklÄti sakot, vienmÄr ir Å”okÄjoÅ”i redzÄt, kÄ kaut kas Ä«sti notiek diezgan vienkÄrÅ”i kļūst par vienÄ«go iemeslu uzÅÄmuma uzlauÅ”anai. ÄŖpaÅ”i tik liela kÄ Capital One.
TÄtad, hakeris iekÅ”Ä - kas notika tÄlÄk?
Nu, pÄc iebrukuma EC2 instancÄ... daudz kas var noiet greizi. Tu praktiski ej uz naža asmens, ja ļauj kÄdam aiziet tik tÄlu. Bet kÄ tas nokļuva S3 spaiÅos? Lai to saprastu, apspriedÄ«sim IAM lomas.
TÄtad viens no veidiem, kÄ piekļūt AWS pakalpojumiem, ir bÅ«t lietotÄjam. Labi, Å”is ir diezgan acÄ«mredzams. Bet ko darÄ«t, ja vÄlaties pieŔķirt citiem AWS pakalpojumiem, piemÄram, lietojumprogrammu serveriem, piekļuvi saviem S3 segmentiem? Tam ir paredzÄtas IAM lomas. Tie sastÄv no divÄm sastÄvdaļÄm:
- UzticÄ«bas politika ā kÄdi pakalpojumi vai cilvÄki var izmantot Å”o lomu?
- Atļauju politika ā ko Ŕī loma atļauj?
PiemÄram, vÄlaties izveidot IAM lomu, kas ļaus EC2 gadÄ«jumiem piekļūt S3 segmentam. PirmkÄrt, lomai ir iestatÄ«ta uzticamÄ«bas politika, ar kuru EC2 (viss pakalpojums) vai konkrÄti gadÄ«jumi var āpÄrÅemtā lomu. Lomas pieÅemÅ”ana nozÄ«mÄ, ka viÅi var izmantot lomas atļaujas darbÄ«bu veikÅ”anai. OtrkÄrt, atļauju politika ļauj pakalpojumam/personai/resursam, kas ir āuzÅÄmis lomuā, S3 darÄ«t jebko, neatkarÄ«gi no tÄ, vai tÄ ir piekļuve vienam noteiktam segmentam... vai vairÄk nekÄ 700, kÄ tas ir Capital One gadÄ«jumÄ.
Kad esat EC2 instancÄ ar IAM lomu, varat iegÅ«t akreditÄcijas datus vairÄkos veidos.
- InstanÄu metadatus varat pieprasÄ«t vietnÄ
http://169.254.169.254/latest/meta-data
Cita starpÄ Å”ajÄ adresÄ varat atrast IAM lomu ar jebkuru no piekļuves atslÄgÄm. Protams, tikai tad, ja atrodaties instancÄ.
- Izmantojiet AWS CLI...
Ja AWS CLI ir instalÄts, tas tiek ielÄdÄts ar akreditÄcijas datiem no IAM lomÄm, ja tÄdas ir. Atliek tikai strÄdÄt, izmantojot instanci. Protams, ja viÅu uzticÄ«bas politika bÅ«tu atvÄrta, Peidža varÄtu darÄ«t visu tieÅ”i.
TÄtad IAM lomu bÅ«tÄ«ba ir tÄda, ka tÄs ļauj dažiem resursiem rÄ«koties JÅŖSU VÄRDÄ CITI RESURSI.
Tagad, kad jÅ«s saprotat IAM lomas, mÄs varam runÄt par to, ko darÄ«ja Peidža Tompsone:
- ViÅa ieguva piekļuvi serverim (EC2 instance) caur caurumu ugunsmÅ«rÄ«
NeatkarÄ«gi no tÄ, vai tÄs bija droŔības grupas/ACL vai viÅu paÅ”u tÄ«mekļa lietojumprogrammu ugunsmÅ«ri, caurumu droÅ”i vien bija diezgan viegli aizbÄzt, kÄ norÄdÄ«ts oficiÄlajos ierakstos.
- Nokļuvusi serverÄ«, viÅa varÄja rÄ«koties tÄ, it kÄ bÅ«tu pati servera
- TÄ kÄ IAM servera loma ļÄva S3 piekļūt Å”iem 700+ spaiÅiem, tas varÄja tiem piekļūt
No Ŕī brīža viÅai atlika tikai izpildÄ«t komandu List Buckets
un tad komanda Sync
no AWS CLI...
StÄsta morÄle: pÄrbaudiet savu droŔību; RegulÄri veikt auditus; DroŔības politikÄ ievÄrojiet vismazÄko privilÄÄ£iju principu.
(
Avots: www.habr.com